Nel mese di luglio di quest’anno si è registrato un aumento degli attacchi ai dispositivi IoT e alle reti, lo ha reso noto Check Point Software Technologies pubblicando il Global Threat Index. In particolare, gli attacchi alla sicurezza informatica, legati alla diffusione dei malware IoT Mirai, IoTroop/Reaper e VPNFilter, sono più che raddoppiati da maggio 2018.
“Le vulnerabilità già note regalano agli hacker un punto d’ingresso facile e abbastanza privo di ostacoli per penetrare nelle reti aziendali, consentendo loro di diffondere un’ampia gamma di attacchi” ha commentato Maya Horowitz, Threat Intelligence Group Manager di Check Point. “Le vulnerabilità IoT, in particolare, sono spesso il percorso dotato di meno resistenza, poiché una volta che un dispositivo viene infettato, può essere semplice infilarsi in altri dispositivi connessi. È, quindi, fondamentale che le organizzazioni applichino le patch alle vulnerabilità note man mano che sono disponibili, al fine di garantire la sicurezza delle reti”.
Quali sono stati i malware più diffusi quest’estate e quali effetti hanno?
Coinhive è rimasto il malware più diffuso, con un impatto globale del 19%. Cryptoloot e Dorkbot risultano essere al secondo e al terzo posto, ciascuno con un impatto globale del 7%.
Anche in Italia, Conhive si mantiene al primo posto per il settimo mese consecutivo con un impatto di oltre il 14% sulle imprese locali, seguito anche a luglio da Cryptoloot e Conficker. Rimane alta la presenza dei trojan bancari con Dorkbot che si mantiene al settimo posto. Più nello specifico:
- Coinhive è uno script di mining che utilizza la CPU degli utenti che visitano determinati siti web per minare la criptovaluta Monero. Il JavaScript installato utilizza una grande quantità di risorse computazionali delle macchine degli utenti finali per estrarre monete e potrebbe causare l’arresto anomalo del sistema.
- Cryptoloot è un malware che utilizza la potenza della CPU o della GPU della vittima e le risorse esistenti per il mining di criptovalute aggiungendo transazioni alla blockchain e rilasciando nuova valuta. Competitor di Coinhive, Cryptoloot cerca di accaparrarsi più vittime chiedendo ai siti una percentuale minore in termini di profitti.
- Dorkbot è l’IRC-worm progettato per consentire l’esecuzione di codice da remoto da parte del proprio operatore, nonché il download di ulteriori malware sul sistema infetto. Si tratta di un trojan bancario, con lo scopo principale di rubare informazioni sensibili e lanciare attacchi denial-of-service.
I malware per dispositivi mobili più diffusi a luglio
- Lokibot è un trojan bancario che colpisce i sistemi Android e che ruba informazioni, può anche trasformarsi in un ransomware che blocca il telefono rimuovendo i privilegi dell’amministratore.
- Triada è il malware modulare per Android che sferra l’attacco tramite una backdoor che concede privilegi amministrativi a malware scaricati e gli permette di essere integrato all’interno di processi di sistema. Triada viene utilizzato anche per compiere attacchi di tipo spoofing (falsificazione dell’identità).
- Guerilla, ad-clicker per Android, ha la capacità di comunicare con un server remoto di comando e controllo (C&C), scaricare plug-in aggiuntivi malevoli ed eseguire ad-clicking aggressivi senza l’autorizzazione o la consapevolezza da parte dell’utente.
Le 3 vulnerabilità protagoniste del luglio 2018
I ricercatori di Check Point hanno analizzato anche le vulnerabilità più sfruttate dai criminali informatici. CVE-2017-7269 si è piazzata al primo posto con un impatto globale del 47%, mentre al secondo posto troviamo la vulnerabilità CVE-2017-5638 che ha interessato il 42% delle organizzazioni. Al terzo posto si posiziona, invece, OpenSSL TLS DTLS Heartbeat Information Disclosure con un impatto del 41%.
- Microsoft IIS WebDAV ScStoragePathFromUrl Buffer Overflow (CVE-2017-7269): inviando una richiesta a una rete Microsoft Windows Server 2003 R2 tramite Microsoft Internet Information Services 6.0, un hacker potrebbe eseguire un codice arbitrario o causare una negazione delle condizioni del servizio sul server di destinazione. Ciò è dovuto principalmente a una vulnerabilità di overflow del buffer causata da una errata convalida di un header lungo nella richiesta HTTP.
- Apache Struts2 Content-Type Remote Code Execution (CVE-2017-5638), si tratta di una vulnerabilità legata all’esecuzione di codice remoto in Apache Struts2 che utilizza il parser Jakarta Multipart. Un malintenzionato potrebbe sfruttare questa vulnerabilità inviando un tipo di contenuto non valido come parte di una richiesta di caricamento file. In caso di sfruttamento, si avrebbe l’esecuzione di codice arbitrario all’interno del sistema infetto.
- OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) è una vulnerabilità legata all’intercettazione di informazioni personali in OpenSSL. La vulnerabilità è dovuta a un errore durante la gestione dei pacchetti heartbeat TLS / DTLS. Un hacker può sfruttare questa vulnerabilità per divulgare il contenuto della memoria di un client o server connesso.